LOCAL SERVICE是windows中的内置账户,权限比普通用户(Users)更小,在Windows中主要作为系统服务或进程的运行账户。它的全名是:NT AUTHORITYLOCAL SERVICE。
LOCAL SERVICE是windows中的内置账户,权限比普通用户(Users)更小,在Windows中主要作为系统服务或进程的运行账户。它的全名是:NT AUTHORITYLOCAL SERVICE。
LOCAL SERVICE属于Windows诸多安全主体中的一个,用于作为服务用户登录系统,可以访问网络,拥有本机最少权限。此账户默认没有密码。一般情况下,不需要访问网络而不需要管理员权限的服务都是以这个权限运行的 。用户无法通过登录界面正常登录,也无法以此权限正常创建交互式服务来让用户直接操作。它是预设的拥有最小权限的本地账户,并在网络凭证中具有匿名的身份。
这个账户主要负责系统中的一些本地服务,例如音频服务、DHCP客户端服务等。
以LOCAL SERVICE权限运行的程序无法访问内核驱动程序,无法访问除“系统中断”、“System”和“系统空闲处理器百分比”之外的所有进程。注意:以这个帐户权限运行的服务无法访问Active Directory中的数据,只能访问本地电脑的数据。以这个权限运行的服务的日志会存在本地计算机。该账户不可以运行SQLServer中的服务。文件及文件夹权限
完全控制(C:WindowsServiceProfilesLocalService文件夹及其所有子文件与子文件夹)
拒绝访问(所有“System Volume Information”文件夹及其子文件和子文件夹和所有其他用户配置文件夹)
读取和执行(其他所有文件或文件夹)
用户特权
特权名 | 描述 | 特权状态 |
SeAssignPrimaryTokenPrivilege | 替换一个进程级令牌 | 已禁用 |
SeIncreaseQuotaPrivilege | 为进程调整内存配额 | 已禁用 |
SeSystemProfilePrivilege | 配置文件系统性能 | 已禁用 |
SeSystemtimePrivilege | 更改系统时间 | 已启用 |
SeAuditPrivilege | 生成安全审核 | 已禁用 |
SeChangeNotifyPrivilege | 绕过遍历检查 | 已启用 |
SeImpersonatePrivilege | 身份验证后模拟客户端 | 已启用 |
SeCreateGlobalPrivilege | 创建全局对象 | 已启用 |
注:特权分配可以在本地安全策略中更改
注册表权限
完全控制(HKEY_USERSS-1-5-19项及其子项与值)
没有指定(其他所有位置)
进程权限
拒绝访问(所有进程,除“系统中断”、“System”和“系统空闲处理器百分比”)服务权限
拒绝访问(所有服务)其他权限
与普通用户相同,但无法访问Active Directory
温馨提示:
